Ordre et priorité de la protection des e-mails

S’applique à: ✅ Built-in security features for all cloud mailboxes, ✅ Microsoft Defender for Office 365 Plan 1 and Plan 2, ✅ Microsoft Defender XDR

Conseil

Saviez-vous que vous pouvez essayer gratuitement les fonctionnalités de Microsoft Defender pour Office 365 Plan 2 ? Utilisez la version d’évaluation de 90 jours de Defender pour Office 365 dans le hub d’évaluation du portail Microsoft Defender. Découvrez qui peut s’inscrire et les conditions d’essai sur Essayer Microsoft Defender pour Office 365.

Dans toutes les organisations disposant de boîtes aux lettres cloud, plusieurs fonctionnalités de protection peuvent marquer le courrier entrant. Par exemple, la protection contre l’usurpation d’identité disponible pour tous les clients Microsoft 365 et la protection contre l’emprunt d’identité qui est disponible pour Microsoft Defender uniquement pour Office 365 clients. Les messages passent également par plusieurs analyses de détection des programmes malveillants, du courrier indésirable, du hameçonnage, etc. Compte tenu de toute cette activité, il peut y avoir une certaine confusion quant à la stratégie appliquée.

En général, une stratégie appliquée à un message est identifiée dans l’en-tête X-Forefront-Antispam-Report de la propriété CAT (Category). Pour plus d’informations, consultez En-têtes de message anti-courrier indésirable dans Microsoft 365.

Deux facteurs principaux déterminent la stratégie appliquée à un message :

L’ordre de traitement pour le type de protection de messagerie : cette commande n’est pas configurable et est décrite dans le tableau suivant :

Commande	protection Email	Catégorie	Où gérer
1	Programme malveillant	`CAT:MALW`	Configurer des stratégies anti-programme malveillant
2	Hameçonnage à haute fiabilité	`CAT:HPHSH`	Configurer des stratégies de blocage du courrier indésirable
3	Hameçonnage	`CAT:PHSH`	Configurer des stratégies de blocage du courrier indésirable
4	Courrier fortement suspecté d’être indésirable	`CAT:HSPM`	Configurer des stratégies de blocage du courrier indésirable
5	Usurpation	`CAT:SPOOF`	Informations sur l’usurpation d’identité
6^*	Emprunt d’identité d’utilisateur (utilisateurs protégés)	`CAT:UIMP`	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
7^*	Emprunt d’identité de domaine (domaines protégés)	`CAT:DIMP`	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
8^*	Intelligence des boîtes aux lettres (graphe des contacts)	`CAT:GIMP`	Configurer des stratégies anti-hameçonnage dans Microsoft Defender pour Office 365
9	Courrier indésirable	`CAT:SPM`	Configurer des stratégies de blocage du courrier indésirable
10	Courrier en nombre	`CAT:BULK`	Configurer des stratégies de blocage du courrier indésirable

^*Ces fonctionnalités sont disponibles uniquement dans les stratégies anti-hameçonnage dans Microsoft Defender pour Office 365.

Ordre de priorité des stratégies : L’ordre de priorité de la stratégie est indiqué dans la liste suivante :
1. Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes^* fiables dans la stratégie de sécurité prédéfinie Strict (lorsqu’elle est activée).
2. Les stratégies anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes^* fiables dans la Standard stratégie de sécurité prédéfinie (lorsqu’elle est activée).
3. Anti-hameçonnage, liens fiables et pièces jointes fiables dans Defender pour Office 365 stratégies d’évaluation (lorsqu’elles sont activées).
4. Stratégies personnalisées anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, liens^* fiables et pièces jointes fiables (lorsqu’elles sont créées^* ).
  
  Une valeur de priorité par défaut est affectée aux stratégies de menace personnalisées lorsque vous créez la stratégie (plus récente est supérieure), mais vous pouvez modifier la valeur de priorité à tout moment. Cette valeur de priorité affecte l’ordre d’application pour ce type de stratégie de menace (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.). La valeur de priorité n’affecte pas l’endroit où les stratégies de menace personnalisées sont appliquées dans l’ordre de traitement, comme décrit dans le tableau précédent.
5. Valeur égale :
  - Les stratégies liens fiables et pièces jointes fiables dans la stratégie de sécurité ^*prédéfinie de protection intégrée.
  - Les stratégies par défaut pour les logiciels anti-programme malveillant, anti-courrier indésirable et anti-hameçonnage.
  Vous pouvez configurer des exceptions à la stratégie de sécurité prédéfinie de protection intégrée, mais vous ne pouvez pas configurer d’exceptions aux stratégies de menace par défaut (elles s’appliquent à tous les destinataires et vous ne pouvez pas les désactiver).
^*Defender pour Office 365 uniquement.

Importante

L’ordre de priorité est important si le même destinataire est inclus intentionnellement ou involontairement dans plusieurs stratégies, car seule la première stratégie de ce type (anti-courrier indésirable, anti-programme malveillant, anti-hameçonnage, etc.) est appliquée à ce destinataire, quel que soit le nombre d’autres stratégies incluses dans le destinataire. Il n’y a jamais de fusion ou de combinaison des paramètres dans plusieurs stratégies pour le destinataire. Le destinataire n’est pas affecté par les paramètres des stratégies restantes de ce type.

Par exemple, le groupe nommé « Contoso Executives » est inclus dans les stratégies suivantes :

Stratégie de sécurité prédéfinie Strict
Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 0 (priorité la plus élevée)
Une stratégie anti-courrier indésirable personnalisée avec la valeur de priorité 1.

Quels paramètres de stratégie anti-courrier indésirable sont appliqués aux membres des cadres de Contoso ? Stratégie de sécurité prédéfinie Strict. Les paramètres des stratégies anti-courrier indésirable personnalisées sont ignorés pour les membres des cadres de Contoso, car la stratégie de sécurité prédéfinie Strict est toujours appliquée en premier.

Autre exemple, considérez les stratégies anti-hameçonnage personnalisées suivantes dans Microsoft Defender pour les Office 365 qui s’appliquent aux mêmes destinataires, et un message qui contient à la fois l’usurpation d’identité et l’usurpation d’identité de l’utilisateur :

Nom de la stratégie	Priority	Emprunt d’identité de l’utilisateur	Anti-usurpation d’identité
Stratégie A	1	Activé	Désactivé
Stratégie B	2	Désactivé	Activé

Le message est identifié comme usurpation d’identité, car l’usurpation d’identité (5) est évaluée avant l’emprunt d’identité de l’utilisateur (6) dans l’ordre de traitement du type de protection de courrier électronique.
La stratégie A est appliquée en premier, car elle a une priorité plus élevée que la stratégie B.
En fonction des paramètres de la stratégie A, aucune action n’est effectuée sur le message, car l’anti-usurpation est désactivée.
Comme le traitement des stratégies anti-hameçonnage s’arrête pour tous les destinataires inclus, la stratégie B n’est jamais appliquée aux destinataires qui se trouvent également dans la stratégie A.

Pour vous assurer que les destinataires obtiennent les paramètres de protection souhaités, suivez les instructions suivantes pour les appartenances à la stratégie :

Affectez un plus petit nombre d’utilisateurs à des stratégies de priorité plus élevée et un plus grand nombre d’utilisateurs à des stratégies de priorité inférieure. N’oubliez pas que les stratégies de menace par défaut sont toujours appliquées en dernier.
Configurez des stratégies de priorité plus élevée pour avoir des paramètres plus stricts ou plus spécialisés que les stratégies de priorité inférieure. Vous disposez d’un contrôle total sur les paramètres des stratégies de menace personnalisées et des stratégies de menace par défaut, mais aucun contrôle sur la plupart des paramètres des stratégies de sécurité prédéfinies.
Envisagez d’utiliser moins de stratégies personnalisées (utilisez uniquement des stratégies personnalisées pour les utilisateurs qui ont besoin de paramètres plus spécialisés que les stratégies de sécurité prédéfinies Standard ou Strict, ou les stratégies de menace par défaut).

Annexe

Il est important de comprendre comment l’utilisateur autorise et bloque, organization autorise et bloque, et comment filtrer les verdicts de pile dans les fonctionnalités de sécurité intégrées de toutes les boîtes aux lettres cloud et dans Defender pour Office 365 se complètent ou se contredisent.

Pour plus d’informations sur le filtrage des piles et la façon dont elles sont combinées, consultez Protection pas à pas contre les menaces dans Microsoft Defender pour Office 365.
Une fois que la pile de filtrage a déterminé un verdict, ce n’est qu’alors que sont organization stratégies et leurs actions configurées évaluées.
S’il existe la même adresse e-mail ou le même domaine dans la liste des expéditeurs approuvés et dans la liste des expéditeurs bloqués d’un utilisateur, la liste Des expéditeurs approuvés est prioritaire.
Si la même entité (adresse e-mail, domaine, infrastructure d’envoi usurpée, fichier ou URL) existe dans une entrée d’autorisation et une entrée de bloc dans la liste verte/bloquée du locataire, l’entrée de bloc est prioritaire.
Pour les programmes malveillants et les verdicts d’hameçonnage à haut niveau de confiance, vous ne pouvez pas créer d’entrées d’autorisation directement dans la liste verte/bloquée du locataire. Utilisez plutôt la page Soumissions à l’adresse https://security.microsoft.com/reportsubmission pour envoyer l’e-mail, la pièce jointe ou l’URL à Microsoft. Une fois que vous avez sélectionné J’ai confirmé qu’il est propre, vous pouvez sélectionner Autoriser ce message, Autoriser ce fichier ou Autoriser cette URL pour créer une entrée d’autorisation pour les domaines et adresses de messagerie, fichiers ou URL.
Si vous utilisez un type de fichier dans le filtre Pièces jointes communes dans les stratégies anti-programme malveillant, l’autorisation du même fichier dans la liste d’autorisation/blocage du locataire ou les règles de flux de messagerie Exchange (également appelées règles de transport) ne remplace pas le verdict.

L’utilisateur autorise et bloque

Les entrées de la collection de listes approuvées d’un utilisateur (la liste des expéditeurs approuvés, la liste des destinataires approuvés et la liste Des expéditeurs bloqués sur chaque boîte aux lettres) peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans le tableau suivant :

Verdict de la pile de filtrage	Liste des expéditeurs/destinataires approuvés de l’utilisateur	Liste des expéditeurs bloqués de l’utilisateur
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’organisation gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier fortement suspecté d’être indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’organisation gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’organisation gagne : la stratégie anti-courrier indésirable applicable détermine l’action
Courrier en nombre	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Pas de courrier indésirable	L’utilisateur gagne : Email remis à la boîte de réception de l’utilisateur	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur

Dans Exchange Online, l’autorisation de domaine dans la liste de l’expéditeur fiable peut ne pas fonctionner si l’un des scénarios suivants met le message en quarantaine :
- Le message est identifié comme un programme malveillant ou un hameçonnage à haut niveau de confiance (les programmes malveillants et les messages d’hameçonnage à haute confiance sont mis en quarantaine).
- Les actions dans les stratégies anti-courrier indésirable sont configurées pour mettre en quarantaine au lieu de déplacer le courrier vers le dossier Email indésirable.
- L’adresse e-mail, l’URL ou le fichier dans le message électronique se trouve également dans une entrée de bloc dans la liste verte/bloquée du locataire.

Pour plus d’informations sur la collecte de listes sécurisées et les paramètres anti-courrier indésirable sur les boîtes aux lettres utilisateur, consultez Configurer les paramètres de courrier indésirable sur les boîtes aux lettres cloud.

Autorisations et blocages de l’organisation

Les blocs et les autorisations de l’organisation peuvent remplacer certains verdicts de pile de filtrage, comme décrit dans les tableaux suivants :

Stratégie de remise avancée (ignorer le filtrage pour les boîtes aux lettres SecOps désignées et les URL de simulation de hameçonnage) :

Verdict de la pile de filtrage	Autoriser la stratégie de livraison avancée
Programme malveillant	L’organisation gagne : Email remis aux boîtes aux lettres
Hameçonnage à haute fiabilité	L’organisation gagne : Email remis aux boîtes aux lettres
Hameçonnage	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier en nombre	L’organisation gagne : Email remis aux boîtes aux lettres
Pas de courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres

Règles de flux de messagerie Exchange (également appelées règles de transport) :

Verdict de la pile de filtrage	La règle de flux de courrier autorise^*	Blocs de règle de flux de courrier
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine, sauf dans un routage complexe	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’organisation gagne : Email remis aux boîtes aux lettres	Filtre gagnant : action de hameçonnage dans la stratégie anti-courrier indésirable applicable
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	Filtre gagnant : Email remis au dossier Email indésirable de l’utilisateur
Courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	Filtre gagnant : Email remis au dossier Email indésirable de l’utilisateur
Courrier en nombre	L’organisation gagne : Email remis aux boîtes aux lettres	Filtre gagnant : Email remis au dossier Email indésirable de l’utilisateur
Pas de courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email remis au dossier de Email indésirable de l’utilisateur

^* Les organisations qui utilisent un service de sécurité ou un appareil non-Microsoft devant Microsoft 365 doivent envisager d’utiliser la chaîne de réception authentifiée (ARC) (contacter le service pour connaître la disponibilité) et le filtrage amélioré pour les connecteurs (également appelé skip listing) au lieu d’une règle de flux de courrier SCL=-1. Ces méthodes améliorées réduisent les problèmes d’authentification des e-mails et encouragent la défense en profondeur de la sécurité des e-mails .

Liste d’adresses IP autorisées et liste d’adresses IP bloquées dans le filtrage des connexions :

Verdict de la pile de filtrage	Liste d’adresses IP autorisées	Liste d’adresses IP bloquées
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email supprimé en mode silencieux
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email supprimé en mode silencieux
Courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email supprimé en mode silencieux
Courrier en nombre	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email supprimé en mode silencieux
Pas de courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email supprimé en mode silencieux

Autoriser et bloquer les paramètres dans les stratégies anti-courrier indésirable :

Liste des expéditeurs et des domaines autorisés.
Liste des expéditeurs et des domaines bloqués.
Bloquer les messages provenant de pays/régions spécifiques ou dans des langues spécifiques.
Bloquer les messages en fonction des paramètres du filtre anti-courrier indésirable avancé (ASF) dans les stratégies anti-courrier indésirable.

Verdict de la pile de filtrage	La stratégie anti-courrier indésirable autorise	Blocages de la stratégie anti-courrier indésirable
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : action de hameçonnage dans la stratégie anti-courrier indésirable applicable
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email remis au dossier de Email indésirable de l’utilisateur
Courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email remis au dossier de Email indésirable de l’utilisateur
Courrier en nombre	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email remis au dossier de Email indésirable de l’utilisateur
Pas de courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres	L’organisation gagne : Email remis au dossier de Email indésirable de l’utilisateur

Autoriser les entrées dans la liste verte/bloquée du locataire : il existe deux types d’entrées autorisées :

Les entrées autorisées au niveau du message agissent sur l’ensemble du message, quelles que soient les entités contenues dans le message. Les entrées d’autorisation pour l’adresse e-mail et les domaines sont des entrées autorisées au niveau du message. Celles-ci autorisent les entrées à remplacer les verdicts en bloc et les verdicts de courrier indésirable, ainsi que les verdicts d’hameçonnage à haut niveau de confiance à partir de modèles Machine Learning.
Les entrées autorisées au niveau de l’entité agissent sur le verdict de filtrage des entités. Autoriser les entrées pour les URL, les expéditeurs usurpés et les fichiers sont des entrées autorisées au niveau de l’entité. Pour remplacer les programmes malveillants et les verdicts de hameçonnage à haut niveau de confiance, vous devez utiliser les entrées d’autorisation au niveau de l’entité, que vous pouvez créer par envoi uniquement en raison de Secure par défaut.

Verdict de la pile de filtrage	adresse/domaine Email
Programme malveillant	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	Filtre gagnant : Email mis en quarantaine
Hameçonnage	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres
Courrier en nombre	L’organisation gagne : Email remis aux boîtes aux lettres
Pas de courrier indésirable	L’organisation gagne : Email remis aux boîtes aux lettres

Bloquer les entrées dans la liste verte/bloquée du locataire :

Verdict de la pile de filtrage	adresse/domaine Email	Parodie	Fichier	URL
Programme malveillant	Filtre gagnant : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine
Hameçonnage à haute fiabilité	L’organisation gagne : Email mis en quarantaine	Filtre gagnant : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Hameçonnage	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : action usurpation dans la stratégie anti-hameçonnage applicable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Courrier fortement suspecté d’être indésirable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : action usurpation dans la stratégie anti-hameçonnage applicable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Courrier indésirable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : action usurpation dans la stratégie anti-hameçonnage applicable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Courrier en nombre	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : action usurpation dans la stratégie anti-hameçonnage applicable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Pas de courrier indésirable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : action usurpation dans la stratégie anti-hameçonnage applicable	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine

En cas de conflit entre les paramètres utilisateur et organization

Le tableau suivant décrit comment les conflits sont résolus si les paramètres d’autorisation/de blocage de l’utilisateur et organization paramètres autoriser/bloquer affectent un message :

Type de organization autoriser/bloquer	Liste des expéditeurs/destinataires approuvés de l’utilisateur	Liste des expéditeurs bloqués de l’utilisateur
Bloquer les entrées dans la liste verte/bloquée du locataire pour : adresses et domaines Email Fichiers URL	L’organisation gagne : Email mis en quarantaine	L’organisation gagne : Email mis en quarantaine
Bloquer les entrées pour les expéditeurs usurpés dans la liste verte/bloquée des locataires	L’organisation gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable	L’organisation gagne : action d’usurpation d’identité dans la stratégie anti-hameçonnage applicable
Stratégie de livraison avancée	L’utilisateur gagne : Email remis à la boîte aux lettres	L’organisation gagne : Email remis aux boîtes aux lettres
Bloquer les paramètres dans les stratégies anti-courrier indésirable	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Respecter la stratégie DMARC	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Blocs par règles de flux de courrier	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur
Autorise par : Règles de flux de messagerie Liste d’adresses IP autorisées (stratégie de filtre de connexion) Liste des expéditeurs et des domaines autorisés (stratégies anti-courrier indésirable) Liste Autoriser/Bloquer du client	L’utilisateur gagne : Email remis à la boîte aux lettres	L’utilisateur gagne : Email remis au dossier de Email indésirable de l’utilisateur

Commentaires

Cette page a-t-elle été utile ?

Last updated on 2025-09-12